Содержание к диссертации
Введение
Глава 1. Риски информационных систем: обзор современных стандартов и методов оценки и управления 14
1.1. Анализ современных стандартов в области управления рисками информационных систем 14
1.1.1. Анализ международного стандарта ISO IEC 17799 (ГОСТ Р ИСО/МЭК 17799-2005) в области управления рисками информационной безопасности 15
1.1.2. Анализ международного стандарта ISO IEC 27001 (ГОСТ Р ИСО/МЭК 27001-2005) в области мониторинга и управления рисками информационной безопасности 26
1.1.3. Анализ британского стандарта BS 7799-3 «Руководство по управлению информационными рисками» 34
1.1.4. Анализ стандарта США NIST 800-30 «Руководство по управлению информационными рисками ГГ-систем» 42
1.2. Анализ существующих экспертных методов оценки рисков информационных систем 49
Глава 2. Аналитический подход в методологии оценки и управления рисками: обобщение и пути развития 60
2.1. Понятие риска системы 60
2.1.1. Концепции оценки рисков 61
2.1.2. Обобщенная модель оценки риска 62
2.1.3. Вероятностная природа риска 63
2.1.4. Методы оценки риска 64
2.1.5. Формальное определение меры риска 66
2.1.6. Основные меры риска, используемые в анализе информационных систем 67
2.1.7. Методы оптимизации вычислений при расчете риска систем 71
2.1.8. Объективные и субъективные составляющие риска систем 75
2.2. Аналитические методы управления рисками 75
2.2.1. Понятие и обобщенная схема управления рисками 75
2.2.2. Принципы принятия решений по управлению рисками 77
2.2.3. Основные критерии выбора оптимальных решений по управлению рисками 79
2.2.4. Применение методов теории чувствительности в управлении рисками информационных систем 82
2.3. Динамические характеристики риска систем 85
2.4. Наиболее распространенные на практике виды рисков информационных систем и их анализ 91
Глава 3. Развитие методического обеспечения управления рисками информационных систем 101
3.1. Постановка задачи управления рисками информационной системы 101
3.1.1. Интересо-ориентированные системы в контексте постановки задачи управления рисками 101
3.1.2. Общий вид интересо-ориентированной модели управления рисками информационных систем 103
3.1.3. Применение кластерного анализа при оценке рисков информационной системы 106
3.1.4. Формализация управления рисками информационной системы... 113
3.1.5. Критерий принятия решений по управлению рисками на основе функции полезности 115
3.1.6. Развитие интересо-ориентированного подхода к оценке и управлению рисками информационных систем 117
3.1.7. Учет динамики развития информационных систем в управлении рисками 120
3.2. Классификация управляющих воздействий на информационную систему 124
Глава 4. Алгоритмизация и практическое применение методики управления рисками информационных систем на базе интересо-ориентированного подхода 131
4.1. Алгоритмы управления рисками информационных систем на основе интересо-ориентированного подхода 131
4.2. Практическое применение алгоритма управления рисками 141
Заключение 153
Список использованных информационных источников 156
приложение 168
- Анализ существующих экспертных методов оценки рисков информационных систем
- Основные меры риска, используемые в анализе информационных систем
- Применение кластерного анализа при оценке рисков информационной системы
- Практическое применение алгоритма управления рисками
Введение к работе
Актуальность. Проблемы обеспечения безопасности различных информационных систем в современном мире усиливается отсутствием единой развитой методической базы, позволяющей проводить адекватную оценку угроз информационным ресурсам, а также степень защищенности данных систем в информационной сфере. Пока наиболее популярным направлением является подход на основе оценки и управления рисками [69-71]. Он применяется в различных сферах, в частности, в экономической. Концепция управления рисками, используемая в экономике [8-10,15,19,25,29,40,69-71], направлена в большей степени на выбор оптимальных управленческих решений для извлечения наибольшей экономической выгоды. Оптимизации подвергается соотношение риска в зависимости от принимаемого решения и возможного получения прибыли от экономической деятельности.
В отличие от вышеупомянутой экономической модели, управление рисками в сфере обеспечения безопасности информационных систем для рассматриваемого подхода имеет иную направленность. Обеспечение лишь собственной безопасности не является конечной целью функционирования современных информационных систем, поэтому управление рисками в таких системах сегодня направлено на минимизацию издержек, возникающих из-за нарушений их защищенности. Оценка и анализ рисков применяется в информационной сфере сравнительно недавно. В 90-е гг. прошлого века, а также в первое десятилетия нынешнего-века были разработаны несколько стандартов, использующих управление рисками для систем обработки информации. К ним можно отнести международные стандарты ISO IEC 17799, ISO IEC 27001, британский стандарт BS 7799-3, американский стандарт NIST 800-30, а также ряд других зарубежных стандартов. Существуют адаптированные переводы некоторых из данных стандартов на русский язык, доработанные до соответствующих государственных стандартов Российской Федерации таких, как ГОСТ Р ИСО/МЭК 17799-2005
и ГОСТ Р ИСО/МЭК 27001-2005. При этом, очевидно, актуальной составляющей исследования выступает необходимость анализа существующих стандартов с точки зрения возможного аналитического развития методов анализа и управления рисками информационных систем [32,34,107-111].
Известны [10,25,40] различные подходы к оценке и управлению рисками такие как: статистический метод, подход на основе экспертных оценок и оценки субъективной вероятности, вероятностно-статистический подход, теоретико-вероятностный метод, метод расчета и управления экономическими рисками с использованием теории полезности. Принципиальная сложность проведения такого анализа рисков для информационных систем заключается в том, что для достижения адекватных оценок необходимо учитывать достаточно большое количество факторов, которые находятся в сложной зависимости друг от друга. Причем, зачастую достаточно трудно оценить степень достоверности полученного результата, поскольку при проведении анализа невозможно учесть всех факторов. Возможность увеличивать степень детальности исследования ограничена, из-за высокой трудоемкости и значительных экономических издержек. Ключевым недостатком большинства разработанных методов управления рисками является наличие у них одного из следующих конфликтующих по своей сути свойств [66-68]:
Ярко выраженный качественный и страдающий значительным субъективизмом подход к анализу рисков. Наличие этого- свойства обуславливает слабую формализуемость, и, следовательно, невозможность создать автоматизированные инструментальные средства анализа и управления информационными рисками на основе разработанной методики.
Жестко формализованный подход к анализу рисков. Из этого обычно следует то, что методика недостаточно универсальна, то есть неполна. Кроме того, сложные формальные методы обычно трудно применять на практике и следовательно эффект от их использования
незначительный. При этом формальные методы достаточно сложно применить при отсутствии математических моделей процессов, происходящих в информационных системах, а также при недостаточном объеме статистических данных [25,68].
В этом краеугольном противоречии известных методов и стандартов, чрезвычайно актуальным является построение методики, которая бы отвечала следующим требованиям:
достаточная формализуемость для реализации в виде инструментальных средств;
достаточная простота для инженерного применения методики;
адекватность и универсальность управления рисками, то есть применимость методики к большинству информационных систем;
учет динамики развития системы;
комплексность, позволяющая охватить все существенные аспекты функционирования системы.
Методика мониторинга и управления рисками, отвечающая данным требованиям, может быть весьма эффективно применена на практике.
Управление рисками информационной системы затрагивает различные аспекты ее функционирования, где методика управления рисками должна учитывать процессы различного характера, протекающие в системе. В общем случае можно выделить [25] следующие составляющие управления рисками:
идентификация рисков, возникающих в процессе функционирования информационной системы;
оценка организационных и технических рисков системы;
выработка решения по управлению рисками на основе имеющихся оценок;
проведение непосредственной работы по управления рисками (принятие решений);
мониторинг изменения уровня рисков.
Для полноты рассмотрения неизбежно придется прибегнуть к разработке эффективного методического обеспечения, где актуальной задачей является выбор оптимальной меры риска для исследуемой системы или процесса в рамках системы. Это обусловлено тем, что необходимо оценивать общий уровень рисков, складывающийся из процессов имеющих принципиально различный характер. Характерным примером тому являются организационные и технические риски, обусловленные различными классами уязвимостей [70,72].
Обоснованию меры риска посвящено множество исследований, прежде всего в области экономики [8-10,15,25,40,44,94]. В области обеспечения информационной безопасности ситуация осложняется разнородностью исследуемых процессов и ориентированностью на снижение риска, а не на максимизацию доходов [68,70-73]. Распространенная экономическая методология использует концепцию риска как возможности [25]. При проведении анализа рисков информационной системы приходится использовать концепцию риска как опасности, поскольку управление рисками в этой сфере направлено не на получение дополнительной прибыли, а на предотвращение реализации угроз и снижении последствий проявления негативных факторов. Аналитические методики управления, которые могут быть применены в рамках выбранной концепции риска, не отвечают обозначенным выше требованиям [10,25,70]. Поэтому актуальной задачей исследования является развитие существующих методик для приведения их в соответствие поставленным целям. В частности, насущным аспектом исследования является разработка методического обеспечения, позволяющего учитывать изменения состояния информационной системы во времени.
При рассмотрении задачи оценки и управления рисками в некоторых случаях необходимо использовать подход, позволяющий учитывать индивидуальные особенности управляющего субъекта. Это обусловлено субъективным подходом при оценке рисков и необходимостью учитывать
особенности целей, для достижения которых функционирует информационная система [10,14,25,54,68,70]. Таким образом, разрабатываемое методическое обеспечение должно обеспечивать возможность отражения особенностей лица принимающего решение.
Информационная система как объект исследования представляет собой упорядоченное множество взаимодействующих компонентов, где для компонентов этого множества соответствующая формируется совокупность угроз безопасности [54]. Характер взаимодействия угроз и уязвимостей определяет общую оценку риска для системы. Сегодня актуальной является разработка методики комплексной адекватной оценки риска и защищенности информационных систем для множества вышеуказанных деструктивных факторов. Проблема определения общего риска для совокупности сложного взаимодействия угроз на данном этапе не решена в полной мере [67-68]. Существующие методики, увы, не учитывают характер взаимодействия различных негативных факторов и дают комплексную оценку риска системы лишь на качественном уровне.
Ввиду структурной сложности и компонентной разнородности современных информационных систем возникает проблема адекватной идентификации и оценки рисков, обусловленных функционированием отдельных элементов системы. Иными словами, актуальным является учет в разрабатываемом методическом обеспечении возможности оценки систем со сложной структурой и возможностью упрощения вычислений, при аналитическом выделении подклассов элементов и проведении анализа рисков на основе произведенной классификации [68].
Все вышеизложенное позволяет с уверенностью утверждать об актуальности развития аналитических методов оценки и управления рисками информационных систем.
Данная работа выполнена в соответствии с одним из основных научных направлений Воронежского государственного технического университета: "Перспективные радиоэлектронные и лазерные устройства и
системы передачи, приема, обработки и защиты информации". Приказ от 10.03.04 №163-18.00-1 ГБ НИР: ГБ 04.24. "Методы и системы передачи, обработки и защиты информации". Номер госрегистрации: 0120.0411792.
Объект исследования. Информационные системы в контексте обеспечения их безопасности при реализации угроз.
Предмет исследования. Методическое обеспечение оценки и управления рисками информационных систем, подвергающиеся воздействию угроз.
Цель работы: на основе аналитического подхода провести исследование и развитие методического обеспечения оценки и управления рисками информационных систем.
Достижение цели работы предполагает решение следующих задач исследования:
Исследовать стандарты и существующие методы идентификации, оценки и управления рисками информационных систем, включая адаптацию понятийного аппарата для предмета и объекта исследования.
Обобщить и систематизировать методологию аналитической оценки рисков информационных систем, в контексте обеспечения их безопасности.
Развить аналитическую методологию оценки рисков информационной системы на основе интересо-ориентированного подхода, включающего оценку фактора изменения характеристик информационной системы во времени.
Разработать алгоритмы управления рисками информационной системы, дающие возможность практически применить предложенную методику на основе интересо-ориентированного подхода.
Методы исследования базируются на основных положениях теории вероятности и риска, теории управления в интересо-ориентированных системах, аппарата кластерного анализа.
Научная новизна. В диссертационной работе получены следующие результаты, характеризующиеся научной новизной:
Впервые осуществлено наиболее полное исследование и систематизация методологического обеспечения в области управления рисками и защищенностью информационных систем, в контексте развития аналитического подхода, открывающего перспективы многовариантного динамического анализа и оптимизации защищенности вышеуказанных систем.
Разработана методика оценки рисков для информационных систем с использованием кластерного анализа, в отличие от аналогов позволяющая производить классификацию элементов информационной системы по уровню риска, и способствующая адекватному выбору стратегии управления для различных классов элементов.
Предложена методика управления рисками информационных систем на основе интересо-ориентированного подхода, отличающаяся возможностью учитывать фактор динамики изменения характеристик во времени, а также - прогнозировать уровень риска и принимать управляющие решения для информационной системы в зависимости от него.
В целях реализации данной методики разработаны алгоритмы управления рисками информационной системы, реализующие принятие решений по управлению с использованием оригинального комплексного критерия полезности на основе оценки риска и ожидаемого дохода.
На защиту выносятся:
Результаты систематизации и анализа стандартов и методов оценки и управления рисками информационных систем, обосновывающие целесообразность развития аналитического подхода.
Формы обобщения и классификации аналитических методов оценки и управления рисками информационных систем, определяющие пути их эффективного развития.
Методика оценки рисков информационной системы на основе кластерного анализа, а также методики аналитического управления рисками на основе интересо-ориентированного подхода с учетом временных характеристик динамики развития систем, в условиях противодействия угрозам.
Алгоритмы управления рисками информационных систем, использующие критерий принятия управленческих решений на основе комплексной оценки риска и ожидаемого дохода, и рекомендации по практическому применению предлагаемых методик в целях противодействия угрозам безопасности.
Апробация работы. Основные результаты диссертационной работы докладывались и обсуждались на следующих конференциях:
Пятая региональная конференции молодежи «ЮниорИнфоСофети». Воронеж, 2006 г.
Региональная научно-практическая конференция «Информационные аспекты безопасности систем». Воронеж, 2007 г.
Региональная научно-практическая конференция «Передача, прием, обработка и защита информации, информационная безопасность». Воронеж, 2007 г.
Шестая всероссийская научно-практическая конференции (с международным участием) «Современные информационные технологии в науке, образовании и практике». Оренбург, 2007 г.
Межрегиональная научно-практическая конференция «Проблемы обеспечения безопасность систем». Воронеж, 2008 г.
Межрегиональная научно-практическая конференция «Риски и безопасность систем». Воронеж, 2008 г.
Региональная научно-практическая конференция «Методы, системы и процессы обеспечения безопасности». Воронеж, май 2008 г.
Межрегиональная научно-практическая конференция «Инновации, риски, безопасность». Воронеж, 2008 г.
Публикации. По материалам диссертационной работы опубликовано 12 научных работ [123-134], в том числе в изданиях, рекомендованных ВАК РФ-4 работы [123-126].
В работах, опубликованных в соавторстве, лично автору принадлежат: методика управления рисками на основе функции полезности [127], предложенный подход для выбора стратегии управления рисками в социотехнической информационной системе [123], методика оценки рисков на основе вероятностно-статистического метода [129], анализ международных стандартов управления информационной безопасностью ISCMEC 17799, ISO/EEC 27001 [124], решение задачи классификации объектов информационной системы по уровню риска при помощи методов кластерного анализа [126], методика оценки динамики изменения уровня риска для информационной системы во времени [134].
Объем и структура работы. Диссертация состоит из введения, четырех глав, заключения и списка литературы, включающего 134 наименования и приложения. Основной текст изложен на 171 страницах машинописного текста. Работа содержит 19 рисунков и 1 таблицу.
Анализ существующих экспертных методов оценки рисков информационных систем
Как показывает обзор информационных источников в области оценки и управления информационными рисками на данный момент преобладает экспертные методы их оценки. Это обусловлено, прежде всего, отсутствием обобщенных статистических данных по реализации угроз в информационной сфере для систем. Зачастую приходится использовать достоверную статистику совместно с экспертными оценками.
Экспертные оценки обычно представляют собой оценки вероятности наступления событий, а также приблизительные значения ущерба соответствующие этим событиям. На основе этих данных производится расчет риска системы. Таким образом, для управления рисками оценка субъективной вероятности является ключевым моментом.
Применение методов экспертной оценки имеет очевидные недостатки, такие как их субъективность, большие погрешности при использовании их в аналитических расчетах. Но в отличие от многих количественных методов оценки риска, которые используют накопленную статистику и оперируют с вероятностями, полученными в результате статистических расчетов, лишены некоторых недостатков. К примеру, основным минусом таких методов является необходимость накопления достаточно больших объемов статистических данных для получения точных прогнозов по уровню риска. В этом разделе кратко рассмотрим особенности экспертных методов оценки рисков.
Как правило, на практике субъективную вероятность приходится привлекать в следующих случаях: когда объективная вероятность некачественная; если предполагается, что полученные закономерности и объективная вероятность не будут наблюдаться в будущем; когда нет объективных данных о наблюдениях в прошлом.
В таких ситуациях субъективную вероятность можно рассматривать как меру уверенности эксперта в возможности наступления события. Она может быть представлена по-разному: вероятностным распределением на множестве событий, бинарным отношением на множестве событий, не полностью заданным вероятностным распределением или бинарным отношением и другими способами.
Покажем, как определить субъективную вероятность. Разделим процесс на три этапа: подготовительный этап; получение оценок; анализ оценок.
Первый этап позволяет выделить объект исследования - некоторое множество событий. Далее проводится предварительный анализ свойств этого множества (устанавливается зависимость или независимость событий, дискретность или непрерывность случайной величины, порождающей данное множество событий). На основе такого анализа выбирается один из подходящих методов определения субъективной вероятности. На этом же этапе проводится подготовка эксперта или группы экспертов, ознакомление его с методом и проверка понимания поставленной задачи экспертами.
Второй этап состоит в применении метода, выбранного на первом этапе. Результатом этого этапа является набор чисел, который отражает субъективный взгляд эксперта или группы экспертов на вероятность того или иного события. Здесь далеко не всегда удается установить окончательное распределение, поскольку результаты могут быть противоречивыми.
Третий этап заключается в исследовании и обобщении результатов опроса. Если вероятности, представленные экспертами, не согласуются с аксиомами вероятности, то это доводится до сведения экспертов и ответы уточняются так, чтобы они соответствовали аксиомам. Для некоторых методов определения субъективной вероятности третий этап исключается, поскольку сам метод состоит в выборе распределения, подчиняющегося аксиомам вероятности, которое в том или другом смысле наиболее близко к оценкам экспертов. Примеры таких методов - метод главного значения для конечного множества независимых событий и минимаксный метод для зависимых событий. Особую важность третий этап приобретает при агрегировании оценок, полученных от группы экспертов. Например, в методе Делфи, после анализа вероятностей, представленных отдельными экспертами, предполагается повторение второго этапа, то есть повторный опрос. Далее вновь следует третий этап, и в случае необходимости процедура выполняется еще раз [68,70]. Классификация методов получения субъективной вероятности
Методы определения субъективной вероятности можно классифицировать в зависимости от формы поставленных перед экспертами вопросов или от характеристик событий и случайных величин, а также от числа привлекаемых экспертов. В задачах оценки рисков в условиях неопределенности требуется оценивать вероятность (возможность) состояний внешней среды (неопределенных факторов). Поскольку внешняя среда может принимать лишь одно значение из заданного множества, то при оценке субъективных вероятностей обычно применяют методы, предназначенные для множеств несовместных событий. Среди методов, служащих для оценки вероятностей в случае конечных множеств несовместных событий, наибольшее практическое значение имеют три: метод прямого приписывания вероятностей, метод отношений и метод собственного значения, а в случае бесконечных множеств несовместных событий — метод изменяющегося интервала и метод фиксированного интервала.
Для практической реализации указанных методов необходима их детальная доработка и адаптация к характеру решаемых задач. Также понадобится разработать и реализовать конкретные алгоритмы проведения опроса экспертов по этим методам. В качестве дополнения к таким алгоритмам нужны процедуры графического представления данных, подготовленных экспертом. Это позволит эксперту вносить необходимые корректировки в свои прежние оценки, исходя из общей картины. А для обработки вероятностей, представленных несколькими экспертами, следует создавать процедуры агрегирования вероятностей. В их основу может быть положен метод взвешенной суммы. Для лучшей согласованности оценок экспертов обычно разрабатывают итеративную процедуру проведения экспертизы, основанную на методе Делфи.
Основные меры риска, используемые в анализе информационных систем
Риск в информационной системе рассматривается обычно с позиции причинения системе какого-либо ущерба. Основными характеристиками ущерба, как уже было сказано выше, являются компоненты вероятностной схемы: 1. Вероятность возникновения ущерба. 2. Значение ущерба, выраженное в определенной физической величине, и соответствующее вышеуказанной вероятности Таким образом, для фиксированной величины ущерба мерой риска может являться вероятность его возникновения. Соответственно, данная формула может быть применена в наиболее простом случае, когда известна и неизменна величина ожидаемого ущерба. Для непрерывных законов распределения вероятностей обычно говорят о вероятности попадания ущерба в определенный интервал где (р(и) - плотность распределения вероятностей ущерба. Нередко для обеспечения безопасности информационных систем больший прикладной смысл имеют определенные частные случаи. Такой мерой риска, например, может являться вероятность того, что ущерб ПреВЫСИТ Предельную ВеЛИЧИНу («пред) В этом случае для дискретного закона распределения вероятностей ущерба выражение для расчета риска будет выглядеть следующим образом: По аналогии для непрерывного закона распределения вероятностей ущерба соответственно оно примет следующий вид: Иногда на практике применяются и обратные риску величины.
Обратную риску величину принято называть защищенностью системы [68]. Так, исходя из приведенного выше, выражения для расчета защищенности примут следующий вид: для дискретного закона распределения ущерба: для непрерывного закона распределения ущерба: Данные меры риска на основе вероятности практически наиболее применимы в том случае, когда точно известно какой максимальный уровень ущерба допустим в системе. С экономической точки зрения для анализа системы необходимо применять меру риска, которая представляет собой величину, измеряемую физической величиной ущерба. В этом случае можно использовать методы теории риска, разработанные для оценки экономических рисков [8,25]. Рассмотрим случай, когда ущерб представлен случайной величиной и. С точки зрения теории риска существуют несколько основных мер риска, которые можно применить в данном случае. 1. Мера риска на основе вычисления математического ожидания для заданного закона распределения вероятностей ущерба. За меру риска принимаем математическое ожидание ущерба, которое можно вычислить исходя из закона распределения вероятностей. То есть для реализации угрозы, представленной случайной величиной ущерба / выражение меры риска будет иметь вид: Для дискретного закона распределения вероятностей ущерба выражение, определяющие риск, будет иметь следующий вид: для непрерывного закона распределения вероятностей - соответственно: Risk(U) = I и- p(u)du, о где следует обратить внимание на то, что областью интегрирования является промежуток [0, оо), что соответствует реальному множеству значений ущерба. Исходя из физического смысла математического ожидания, мера риска, основанная на нем, оценивает среднее значение ущерба.
Эта мера риска является наиболее очевидной и допустима в первом приближении. Обычно она применяется при оценке негативного воздействия (например, экономического ущерба) за определенный промежуток времени. 2. Мера риска на основе вычисления дисперсии для заданного закона распределения вероятностей. Для этой меры случайная величиріа не обязательно является численным значением величины ущерба. Значением меры риска в этом случае является дисперсия закона распределения. В этом случае для дискретного закона выражение определяющее меру риска будет следующим: для непрерывного закона распределения вероятностей — соответственно:
Применение кластерного анализа при оценке рисков информационной системы
Всякая информационная система является совокупностью функционирующих элементов. Для осуществления оценки рисков необходимо учитывать характеристики каждого из этих элементов. Это часто сопряжено с трудоемкими вычислениями, а иногда даже неосуществимо из-за невозможности получить объективную информацию о каждом элементе. Зачастую при принятии качественных решений по управлению рисками необходимо знать не точное численное значение характеристик определенных параметров элементов системы, а класс, которому он принадлежит. Понятие класса в данном случае означает определенную совокупность элементов информационной системы, сходных по выбранным характеристикам. Набор таких характеристик назовем классифицирующей совокупностью. Выбор этих характеристик зависит от решаемой задачи. Отличие такой классификации от традиционных схем заключается в том, что в процессе ее осуществления приходится абстрагироваться от типа элемента информационной системы. То есть теоретически в рамках одного класса могут оказаться различные технические элементы.
Эффективность различных методов управления информационными системами во многом определяется результатами их классификации.
Для проведения такой классификации предложим использование кластерного анализа, методы которого применяются при исследовании экономических систем. Кластерный анализ широко используется в прогнозировании поведения того или иного объекта по набору признаков, определяющих поведение этого объекта. В экономике, к примеру, кластерный анализ может быть использован при исследовании сегментации рынков [104].
При оценке рисков информационных систем в ряде случаев возникает задача деления элементов систем на классы в зависимости от значений, выбранных в качестве классифицирующих характеристик. Такими характеристиками, например, может стать время эксплуатации (степень изношенности) элемента и величина ущерба при его отказе.
При решении подобных задач, вне зависимости от предметной области, исследователь сталкивается по существу с одной проблемой: отнесением объекта рассматриваемого множества к тому или иному классу по комплексу признаков. Постановка задачи. Исходным шагом при практической реализации рассматриваемого аппарата является формирование матрицы наблюдений.
Допустим, у нас имеется множество {1,2, ...,п] объектов. Каждый из п объектов описывается некоторым множеством наблюдаемых и измеряемых показателей или характеристик:
Результаты измерения /-й характеристики у -го объекта будем обозначать Хц, а вектор размерности т в этом случае будет отвечать каждому ряду измерения (дляу-го объекта). Каждый объект в этом случае можно интерпретировать при этом как точку m-мерного пространства с координатами, равными значениям признаков для рассматриваемого объекта. Вышеуказанную матрицу наблюдений, обозначив ее через X, можно представить следующим образом:где п - число объектов, т — число показателей.
Задача кластерного анализа заключается в том, чтобы на основании данных, содержащихся в матрице X, разбить множество объектов {1,2, ..., j, ..., п} на подмножества так, чтобы каждый объект принадлежал одному и только одному подмножеству разбиения (непересекающиеся подмножества) и чтобы объекты, принадлежащие одному и тому же подмножеству, были сходными, в то время как объекты, принадлежащие разным подмножествам, были разнородными (несходными).
Признаки, включенные в матрицу наблюдений, неоднородны, поскольку описывают разные свойства объектов. Кроме того, различаются их единицы измерения, что еще более затрудняет их сопоставление. Поэтому необходимо выполнить предварительное преобразование, которое заключается в стандартизации признаков. Стандартизация, таким образом, представляет собой переход к некоторому единообразному описанию для всех признаков, к введению новой условной единицы, допускающей формальное сопоставление объектов [104].
Для элементов информационных систем стандартизация важна, поскольку они описывается т показателями, для которых физический смысл и единица измерения могут быть разными. Поэтому актуальным является выбор таких показателей, стандартизация которых не привела бы к искажению описания объекта. Наиболее распространенными способами стандартизации показателей являются [104]: где ХІ — среднеарифметическое значение 7-го признака; xf - некоторое эталонное значение /-го признака; xjnax _ максимальное значение /-го признака по всему -м объектам; Xjt — х[ — центрированное значение признака; x"un - минимальное значение /-го признака по всему-м объектам. Достаточно часто [104] используется схема, где соответствующее преобразование производится в соответствии с формулой: среднеквадратическое отклонение по всем объектам [104].
При анализе рисков информационных систем можно применять все из вышеперечисленных способов стандартизации. Способ (1) лучше всего подходит при классификации по сбалансированности показателя системы. Вариант (2) позволяет проводить делению по принципу наибольшей близости к идеальным характеристикам функционирования элемента системы. Способ (3) использует нормированный подход к оценке величины показателей. Стандартизации (4) и (5) удобны в случае оценки степени отклонения характеристик в динамическом диапазоне значений. Причем для (5) используется оценка показателя элемента системы как случайной величины.
Важнейшим понятием для количественного отражения однородности (сходства) пары объектов является показатель (мера, метрика) близости между ними. Наиболее популярной мерой (метрикой) в кластерном анализе является евклидово расстояние, достаточно полно отвечающее интуитивным представлениям о близости многомерных объектов. Заметим также, что универсальные, формализованные правила выбора той или иной меры близости в настоящее время отсутствуют.
Практическое применение алгоритма управления рисками
Рассмотрим задачу управления рисками информационной системы, для весьма распространенного на практике случай утраты работоспособности в результате отказа в обслуживании из-за нехватки вычислительных ресурсов. Пусть исследуемая система представляет собой вычислительную сеть, производящую определенные действия по предоставлению вычислительных ресурсов пользователям. Система подвергается полезной нагрузке, а также сетевым атакам, направленным на вызов отказа в облуживании. Предполагается, что известна статистика показателей нагрузки на систему, а также частоты проявления сетевых атак заданного вида. Проиллюстрируем проведение управления рисками для данной системы в соответствии с разработанным алгоритмом. Этап 1. Построение модели функционирования информационной системы. Множество объектов О в данном случае содержит вычислительные серверы информационной системы, выполняющие операции по обслуживанию пользователей. Множество S включает в себя два вида субъектов: пользователи системы и субъекты, производящие атаку типа отказа в обслуживании. В множестве процессов Р можно выделить следующие составляющие: процессы обработки запросов пользователей, процессы воздействия на серверы с целью осуществления атаки, направленной на возникновение отказа в обслуживании пользователей. Множество целей воздействия на систему включает в себя: цель пользователей (получение доступа к информационным ресурсам сервера), цель атакующего субъекта (прекращение доступа к информационным ресурсам для пользователей системы). Этап 2.
Анализ возможных состояний информационной системы. Для данной информационной системы с учетом множества процессов, которые в ней протекают, можно выделить следующие возможные состояния: S± - нормальное функционирование (выполнение своих функций при достаточном количестве вычислительных ресурсов); S2 - незагруженное состояние (то есть нормальное функционирование, при избыточном количестве вычислительных ресурсов); функционирование в перегруженном состоянии (выполнение функций системы при недостатке ресурсов, что в свою очередь негативно сказывается на производительности); 54 - отказ в обслуживании, вызванный перегрузкой системы (функционирование прекращается из-за избыточной нагрузки со стороны пользователей); 55 - функционирование системы в атакованном состоянии (недостаток ресурсов, вызванный проведением сетевой атаки, производительность системы низкая); 56 - отказ в обслуживании, вызванный сетевой атакой. Для простоты предположим, что мониторинг изменения состояния системы производится через значительный промежуток времени, что позволяет осуществлять произвольный переход между всеми ее состояниями с определенной вероятностью. Этап 3. Определение критериев полезности и значений функции полезности для системы. Критерием полезности для рассматриваемой системы является разность между доходом и издержками, возникающими в результате проявления рисков, за определенный фиксированный интервал времени. Значение функции полезности рассчитывается для каждого из состояний информационной системы исходя из общего вида функции полезности, то есть из следующего выражения: Так как для каждого состояния уровень риска является неслучайным, а случайный фактором является попадание в это состояние, то для конкретного состояния функция полезности имеет следующий вид:- экономические издержки, возникающие при попадании в данное состояние. Пусть максимальный доход, который может приносить система за месяц, составляет 100 единиц. Для каждого из состояний известен уровень издержек, возникающих при его появлении: 1)
Для состояния Si издержки отсутствуют, так как система нормально функционирует в режиме высокой производительности, то есть F(St) = 100. 2) Для состояния 5"2 уровень издержек соответствует количеству незадействованных ресурсов. Эти данные необходимо получить из анализа соответствующих статистических данных. Предположим, что издержки в результате отсутствия загруженности системы имеют среднее значение 20 единиц. То есть F(52) = 80. 3) Состояние 53 характеризуется уровнем издержек, обусловленных низкой производительностью системы в перегруженном состоянии.
Предположим, что издержки в результате перегрузки системы имеют среднее значение 40 единиц. То есть F(S3) = 60. 4) Для состояния 54 уровень издержек максимален, так как система не выполняет полезной работы. То есть F(S4) = 0. 5) Состояние 55 характеризуется уровнем издержек обусловленных низкой производительностью системы в результате реализации сетевой атаки. Предположим, что издержки в результате атаки на систему имеют среднее значение 50 единиц. То есть F(55) = 50. 6) Для состояния S6, как и для 54, уровень издержек максимален, так как система также не выполняет полезной работы. То есть F(S6) = 0. Критерием полезности для лица, принимающего решение, является среднее ожидаемое значение функции полезности для системы. Пороговым значением выберем 92 единицы.